Sistemas Distribuídos

(1)

Sistemas Distribu´ıdos

Seguran¸ca

Prof. Emerson Ribeiro de Mello

Instituto Federal de Santa Catarina – IFSC campus S˜ao Jos´e

mello@ifsc.edu.br http://docente.ifsc.edu.br/mello

(2)

(3)

Ataques mais frequentes e graves do ´ultimo ano

Levantamento do cert.br

For¸ca bruta no SSH e Wordpress (tamb´em em RDP, VNC, FTP, POP3)

Servidores web com CMS (Joomla, Wordpress, Drupal, etc.)

Desfigura¸c˜ao e hospedagem de malware ou p´aginas falsas (phishing)

Zumbi para gerar DDoS ou minerar bitcoins

Boletos banc´arios alterados

(4)

Governo Chinˆes - O grande irm˜ao!

Quando algu´em tenta acessar icloud.com ou live.com ´e redirecionado para um site falso do governo

Ataque do homem no meio – main-in-the-middle

A maioria dos navegadores web dispara o famoso alerta “certificado inv´alido”

Qihoo, o navegador mais popular na China, n˜ao d´a qualquer dica que tem algo errado

(5)

Ataques envolvendo DNS – no lado dos clientes

Objetivo: apontar para um servidor de DNS malicioso

Em modems/roteadores SOHO de banda larga

for¸ca bruta via telnet, ssh, backdoor do fabricante

15/10/13 - “D-Link assume backdoors” – http://goo.gl/ojrUYN

iFrame em p´aginas maliciosas para alterar o DNS destes dispositivos

1 <iframe height=0 width=0 name="cantseeme"></iframe> 2 <form name="csrf_form" action="http://192.168.1.1/goform/

AdvSetDns" method="post" target="cantseeme">

3 <img src="http://admin:admin@IP_Vitima/dnscfg.cgi?dnsPrimary =64.186.158.42&dnsSecondary=64.186.146.68&dnsDynamic=0& dnsRefresh=1" border=0 width=0 height=0>

(6)

Ataques envolvendo DNS – no lado dos servidores

Servidores DNS de ISP recursivos respondendo incorretamente como autoridade – flag aa - “authoritative answer”

4 dig @IP-DNS-PROVEDOR www.vitima.br

5 ...

(7)

DrDoS - Amplifica¸c˜ao de DNS – 53/UDP

Tamb´em tem com NTP, SNMP

S´o s˜ao poss´ıveis porque as redes permitem spoofing

(8)

Internet das coisas

Carga de firmware malicioso via rede ou malware no computador do usu´ario

Modems, roteadores, etc SOHO

Phishing hospedado em CFTV da Intelbras Minera¸c˜ao de bitcoin em NAS Synology

Site falso (phishing) de um banco que orientava a instalar um aplicativo Android para gerar senhas para acesso ao banco

(9)

Uso de chaves fracas em dispositivos de rede

https://factorable.net

Chaves criptogr´aficas RSA e DSA (usadas no TLS ou SSH) geradas sem a aleatoriedade necess´aria

Gerador de n´umeros aleat´orios no Linux

/dev/random

Aleatoriedade de alta qualidade

Fica bloqueado se a entropia dispon´ıvel for insuficiente

/dev/urandom

Gera n´umeros pseudo-aleat´orios Nunca bloqueia

(10)

Uso de chaves fracas em dispositivos de rede

https://factorable.net

Dropbear – cliente e servidor SSH

Substituto do OpenSSH para ambientes com pouco poder de processamento e mem´oria – sistemas embarcados

Coment´ario no c´odigo fonte

Usaremos /dev/urandom, uma vez que o /dev/random incomoda muito

(11)

(12)

Slowloris – migrando ataque para a camada de aplica¸c˜ao

Alvo: servidor web baseado em conex˜oes, p.e. Apache HTTP Atacante n˜ao precisa de muito recurso (rede e processamento)

(13)

Honeypots e Honeynets

Honeypot

Recurso computacional projetado para ser sondado, atacado ou comprometido Baixa interatividade, pois emula sistemas operacionais e servi¸cos

Honeynet

Honeypot de alta interatividade, consiste de uma rede projetada para ser comprometida Possui outros mecanismos de controle para evitar que o sistema atacado gere ataques para outras m´aquinas

Regra de ouro

(14)

Honeypots e Honeynets

Honeypot

Recurso computacional projetado para ser sondado, atacado ou comprometido Baixa interatividade, pois emula sistemas operacionais e servi¸cos

Honeynet

Honeypot de alta interatividade, consiste de uma rede projetada para ser comprometida Possui outros mecanismos de controle para evitar que o sistema atacado gere ataques para outras m´aquinas

Regra de ouro

(15)

Honeypots e Honeynets

Caracter´ısticas Honeypot Honeynet

instala¸c˜ao f´acil dif´ıcil

manuten¸c˜ao f´acil trabalhosa

risco de comprometimento baixo alto obten¸cão de informa¸cões limitada extensiva necessidade de mecanismos de conten¸cão não sim atacante tem acesso ao S.O real não (em teoria) sim aplica¸cões e servi¸cos oferecidos emulados reais atacante pode comprometer o honeypot não (em teoria) sim

(16)

(17)

Firewall

Defini¸c˜ao convencional: Parede corta fogo

Dispositivo feito de material a prova de fogo para evitar que o fogo se espalhe de uma parte do edif´ıcio para outra

Defini¸c˜ao para sistemas computacionais

Ponto de controle que mant´em acessos n˜ao autorizados fora do per´ımetro de seguran¸ca, ao mesmo tempo possibilita acesso aos sistemas externos

Atua como uma barreira de seguran¸ca entre a rede interna e o mundo exterior

Evita que potenciais vulnerabilidades de servi¸cos sejam exploradas

Nenhum software complexo ´e 100% seguro

(18)

Firewall

Defini¸c˜ao convencional: Parede corta fogo

Dispositivo feito de material a prova de fogo para evitar que o fogo se espalhe de uma parte do edif´ıcio para outra

Defini¸c˜ao para sistemas computacionais

Ponto de controle que mant´em acessos n˜ao autorizados fora do per´ımetro de seguran¸ca, ao mesmo tempo possibilita acesso aos sistemas externos

Atua como uma barreira de seguran¸ca entre a rede interna e o mundo exterior

Evita que potenciais vulnerabilidades de servi¸cos sejam exploradas

Nenhum software complexo ´e 100% seguro

(19)

Firewall de m´aquina (ou Firewall pessoal)

Per´ımetro de seguran¸ca: A própria máquina Analisa todo o tráfego entrante e sainte

Uma forma de prote¸c˜ao contra spywares, m´aquinas zumbis

As regras podem seguir uma pol´ıtica de seguran¸ca da organiza¸cão (mais seguro) ou o próprio usuário pode definir suas regras (menos seguro) Exemplo: Firewall do Microsoft Windows

(20)

Firewall de m´aquina (ou Firewall pessoal)

Per´ımetro de seguran¸ca: A própria máquina Analisa todo o tráfego entrante e sainte

Uma forma de prote¸c˜ao contra spywares, m´aquinas zumbis

As regras podem seguir uma pol´ıtica de seguran¸ca da organiza¸cão (mais seguro) ou o próprio usuário pode definir suas regras (menos seguro) Exemplo: Firewall do Microsoft Windows

(21)

Firewall de rede

Per´ımetro de seguran¸ca: rede local da organiza¸c˜ao

Todo o tr´afego de dentro para fora, e vice-versa, dever´a passar pelo Firewall

Somente o tráfego autorizado, definido pela pol´ıtica de seguran¸ca local, deverá ter permissão para passar

O próprio Firewall deverá ser imune a invasões

Implica na utiliza¸c˜ao de um sistema confi´avel, com um sistema operacional seguro e rodando um conjunto m´ınimo de servi¸cos

(22)

Caracter´ısticas de um firewall de rede

Ponto ´unico de controle garante uma maior seguran¸ca da rede

Mesmo que m´aquinas de clientes n˜ao estejam plenamente seguras

Um bom local para realizar Tradu¸c˜oes de Endere¸cos de Rede (NAT) e registro do tr´afego

N˜ao protege contra ataques oriundos da rede interna

Não evita que máquinas internas fa¸cam uso de modems (3G) e se conectem à rede externa

Firewall pessoal + Firewall rede

Se o firewall de rede protege contra ataques oriundos da rede externa, o firewall pessoal pode proteger contra ataques originados dentro da rede local

(23)

Caracter´ısticas de um firewall de rede

Ponto ´unico de controle garante uma maior seguran¸ca da rede

Mesmo que m´aquinas de clientes n˜ao estejam plenamente seguras

Um bom local para realizar Tradu¸c˜oes de Endere¸cos de Rede (NAT) e registro do tr´afego

N˜ao protege contra ataques oriundos da rede interna

Não evita que máquinas internas fa¸cam uso de modems (3G) e se conectem à rede externa

Firewall pessoal + Firewall rede

Se o firewall de rede protege contra ataques oriundos da rede externa, o firewall pessoal pode proteger contra ataques originados dentro da rede local

(24)

(25)

Tipos de Firewall

Filtro de pacotes (camada de rede)

Se preocupa com endere¸co IP de origem/destino, porta de origem/destino, protocolo utilizado

Geralmente combinado com roteador

Inspe¸c˜ao de estado (camada de transporte)

Não filtram pacotes individuais, o filtro é baseado em regras de sessões

Gateway no n´ıvel de aplica¸c˜ao

O tráfego é analisado na camada de aplica¸cão

(26)

Filtro de pacotes

Atua na camada de rede e não se preocupa com o conteúdo dos pacotes Analisa todo datagrama que passa por este e decide se serão descartados ou encaminhados

Endere¸co IP de origem e de destino Porta de origem e de destino Interface de entrada e de sa´ıda Protocolo TCP, UDP ou ICMP

(27)

Filtro de pacotes – Exemplos

Pol´ıtica

Máquinas de usuários não podem gerar SPAM Máquinas internas não podem ser acessadas remotamente

Usu´arios podem navegar na web

Configura¸c˜ao do firewall

Descarte todos pacotes saintes com destino a porta 25

Descarte pacotes destinados as portas do SSH, VNC, RDesktop Permita o tr´afego sainte para as portas 80 e 443

(28)

Filtro de pacotes – Exemplos

Pol´ıtica

Máquinas de usuários não podem gerar SPAM

M´aquinas internas n˜ao podem ser acessadas remotamente

(29)

Filtro de pacotes – Exemplos

Pol´ıtica

Descarte pacotes destinados as portas do SSH, VNC, RDesktop

Permita o tr´afego sainte para as portas 80 e 443

(30)

Filtro de pacotes – Exemplos

Pol´ıtica

(31)

Inspe¸c˜ao de estado

Atua na camada de transporte (camada 4) N˜ao analisa pacotes individuais

Mantém estado de todas as conexões que passam por este Consegue determinar se um pacote faz parte de uma conexão existente ou de uma nova conexão 7 172.18.0.4 172.18.0.10 8 | | 9 | SYN | 10 |(41143) ---> (1234)| 11 | SYN, ACK | 12 |(41143) <--- (1234)| 13 | ACK | 14 |(41143) ---> (1234)| 15 | PSH, ACK - Len: 3 | 16 |(41143) ---> (1234)| 17 | ACK | 18 |(41143) <--- (1234)| 19 | PSH, ACK - Len: 6 | 20 |(41143) <--- (1234)| 21 | ACK | 22 |(41143) ---> (1234)| 23 | FIN, ACK |

(32)

Gateway no n´ıvel de aplica¸c˜ao

Atua na camada de aplica¸c˜ao (camada 7), examinando o conte´udo dos pacotes

Permite um controle mais granular que aquele presente nos filtros de pacotes e de sess˜oes

Ex: Aos usuários internos não é permitido baixar arquivos .EXE Pode ser combinado com antiv´ırus

Consome uma carga maior de processamento se comparado a outros filtros

A conex˜ao entre clientes e servidores ´e sempre intermediada

1 Pacotes originados pelos clientes param no gateway, onde s˜ao analisados 2 Se estiverem de acordo, o gateway inicia uma conex˜ao com o servidor

(33)

Comparativo entre os tipos de firewall

Filtro de pacotes

Vantagens Com regras simples ´e poss´ıvel se proteger da maioria das amea¸cas de seguran¸ca

Desvantagens Seguran¸ca vs facilidade para usu´arios

Inspe¸c˜ao de estados

Vantagens Evita ataques mais elaborados; facilidade para usu´arios

Desvantagens Aplica¸cões UDP não são atendidas

Gateway de aplica¸c˜ao

Vantagens Filtro granular baseado em conteúdo; cache; autentica¸cão de usuários

Desvantagens Nem todas aplica¸cões funcionam com este; desempenho A combina¸cão destes se mostra como uma boa solu¸cão

(34)

Comparativo entre os tipos de firewall

Filtro de pacotes

Desvantagens Seguran¸ca vs facilidade para usu´arios Inspe¸c˜ao de estados

Desvantagens Aplica¸cões UDP não são atendidas

Gateway de aplica¸c˜ao

(35)

Comparativo entre os tipos de firewall

Filtro de pacotes

Desvantagens Aplica¸cões UDP não são atendidas Gateway de aplica¸cão

(36)

Comparativo entre os tipos de firewall

Filtro de pacotes

Desvantagens Nem todas aplica¸c˜oes funcionam com este; desempenho

(37)

Comparativo entre os tipos de firewall

Filtro de pacotes

(38)

(39)

(40)

Estrat´egias de configura¸c˜ao

Estrat´egia Descri¸c˜ao

Local Instalado em cada máquina individual Roteador/Firewall Uma única máquina para roteamento e

filtra-gem de pacotes

Firewall com 2 interfaces Intermedia a conex˜ao entre a LAN e o rotea-dor

Firewall com subredes M´aquinas da rede interna s˜ao alocadas em diferentes subredes

(41)

(42)

(43)

(44)

(45)

(46)

(47)

(48)

Estratégia: Esta¸cão bastião

Uma esta¸cão especial com poucas aplica¸cões em execu¸cão, projetada e configurada para resistir a ataques

Servidores proxy (SOCKS, HTTP, RTP, etc.)

Somente pacotes oriundos e destinados a esta m´aquina podem passar pelo firewall

(49)

(50)

Organiza¸c˜ao da rede

1 Somente com esta¸c˜oes de

trabalho

Residencias e pequenas empresas

2 Esta¸c˜oes e servidores internos

Servidor de impress˜ao, arquivos, etc.

3 Esta¸c˜oes, servidores internos e

externos

WWW, SMTP, DNS, POP, IMAP, etc.

Como oferecer servi¸cos externos sem que isto resulte em amea¸cas para a rede interna?

(51)

Organiza¸c˜ao da rede

trabalho

2 Esta¸c˜oes e servidores internos

Servidor de impress˜ao, arquivos, etc.

externos

(52)

Organiza¸c˜ao da rede

trabalho

2 Esta¸c˜oes e servidores internos Servidor de impress˜ao, arquivos, etc.

externos

(53)

Organiza¸c˜ao da rede

trabalho

2 Esta¸c˜oes e servidores internos Servidor de impress˜ao, arquivos, etc.

externos

(54)

DMZ – Zona desmilitarizada

Segmento de rede tratado como zona neutra entre faixas em conflito (rede local e Internet)

Local ideal para disponibilizar servi¸cos que podem ser acessados tanto por m´aquinas da rede local como da rede externa (Internet)

Exemplo: DNS, WWW, SMTP

Parte-se do pressuposto que as máquinas ali presentes seguem a risca a pol´ıtica de seguran¸ca e estão sempre com as últimas atualiza¸cões de seguran¸ca

Roda um conjunto m´ınimo de servi¸cos Principal objetivo

Proteger a rede interna contra ataques oriundos dos servidores externos, caso estes sejam comprometidos

(55)

(56)

Replicar servi¸cos pela DMZ e rede local

Replicar servi¸cos pela rede local e DMZ garante que se o servidor na DMZ for comprometido, isto não irá afetar os usuários da rede local

(57)

Material para conscientiza¸c˜ao sobre seguran¸ca

Cartilha de Seguran¸ca para Internet

http://cartilha.cert.br

Site Antispam.br

http://antispam.br

Portal InternetSegura.br